-
CAA记录 CAA记录由一个[flag]标志字节和一个被称为属性的[tag]-[value]标(标签-值)对组成,可以将多个CAA字段添加到
域名 的DNS记录中。 表1 CAA记录配置规则 场景 说明 示例 设置单域名CAA记录 0 issue "ca.example.com" 该字段表示只有ca.example.com可以为域名domain.com颁发证书,未经授权的第三方CA机构申请域名domain.com的HTTP证书将被拒绝。 0 issue ";" 该字段表示拒绝任何CA机构为域名domain.com颁发证书。 设置发送警报通知 0 iodef "mailto:admin@domain.com" 该字段用于当第三方尝试为一个未获得授权的域名申请证书时,通知CA机构向网站所有者发送警报邮件。 0 iodef "http:// domain.com/log/" 0 iodef "https:// domain.com/log/" 该字段用于记录尝试在其他CA申请HTTPS证书的行为。 设置颁发通配符域名证书 0 issuewild "ca.example.com" 该字段用于将通配符证书的颁发权限指定CA机构ca.example.com。 综合配置样例 0 issue "ca.abc.com" 0 issuewild "ca.def.com" 0 iodef "mailto:admin@domain.com" 该字段表示域名domain.com: 授权CA机构ca.abc.com颁发不限类型的证书。 授权CA机构ca.def.com颁发通配符证书。 禁止其他CA机构颁发证书。 当有违反设置规则的情况发生,CA机构发送通知邮件到admin@domain.com。
-
CAA标准 CAA标准是指域名所有者在其域名DNS记录的CAA字段中,授权指定的CA机构为其域名颁发证书。 全球约有上百个CA机构有权发放HTTPS证书,证明您网站的身份。CAA标准可以使网站将指定CA机构列入白名单,仅授权指定CA机构为网站的域名颁发证书,防止HTTPS证书错误颁发。设置CAA记录是提高网站安全性的方法之一。 CA机构在为域名签发证书时执行CAA强制性检查: 如果检查域名的DNS记录,发现未设置CAA字段,则为域名颁发证书。 这种情况下,任何CA机构均可为域名签发证书,存在HTTPS证书错误颁发的风险。 如果检查域名的DNS记录,在CAA字段发现获得授权,则为域名颁发证书。 如果检查域名的DNS记录,在CAA字段发现未获得授权,则拒绝为域名颁发证书,防止未授权HTTPS证书错误颁发。
-
添加CNAME类型的记录集冲突(邮箱解析场景) 邮箱域名example.com已创建至云解析服务,在配置邮箱解析时,需要为域名添加MX、TXT、CNAME类型的记录集。 “主机记录”相同时,在同一解析线路下,CNAME记录集与MX和TXT记录集是冲突的。此时,可以选择设置不同的“主机记录”来为域名添加CNAME记录集。 邮箱解析的配置,如表2所示。 详细的邮箱解析配置步骤,请参见配置邮箱解析。 表2 邮箱解析记录 记录集类型 主机记录 值 说明 MX - 5 mx01.mailserver.com 10 mx02.mailserver.com 邮箱服务器地址,通过邮箱服务商获取。 TXT - "v=spf1 include:spf.mailserver.com -all" 采用SPF记录防范垃圾邮件。 CNAME mail mailserver.com 通过域名“mail.example.com”登录邮箱。 CNAME smtp smtp.mailserver.com 使用域名“smtp.example.com”作为“smtp.mailserver.com”的地址。 CNAME imap imap.mailserver.com 使用域名“imap.example.com”作为“imap.mailserver.com”的地址。 CNAME pop pop.mailserver.com 使用域名“pop.example.com”作为“pop.mailserver.com”的地址。
-
添加NS类型记录集冲突 域名example.com已创建至云解析服务,系统自动生成了NS类型和SOA类型的记录集,且这两条记录集无法删除。 在相同解析线路下,NS类型记录集在主域名级别是冲突的,因此,无法为域名example.com再添加一条NS类型的记录集。 此时,您可以选择如下方式: 方式一:为域名example.com的子域名添加NS类型记录集 示例如图2所示,表示子域名123.example.com的权威DNS服务器地址为“ns.example.com”。 图2 为子域名添加NS记录集 方式二:为域名example.com添加非“全网默认”解析线路的NS类型记录集 示例如图3所示,表示域名example.com在电信线路下的权威DNS服务器地址为“ns.example.com”。 图3 为域名添加运营商线路的NS记录集 方式三:修改域名example.com的NS类型记录集的值 如果想要为域名配置新的权威DNS服务器地址,则可以通过修改NS记录集实现,设置原则及操作指导请参见华为云DNS对用户提供域名服务的DNS服务器地址是什么?。
-
添加PTR记录集 在“内网域名”页面的域名列表中,单击新创建域名的名称。 进入“解析记录”页面。 单击“添加记录集”。 进入“添加记录集”页面。 图1 添加记录集 根据界面提示填写参数配置,参数说明如表2所示。 表2 添加PTR类型记录集参数说明 参数 参数说明 取值样例 主机记录 填写反向解析具体的IP地址。 10.1.168 例如,用户IP地址为192.168.1.10,则反向解析域名的完整格式为10.1.168.192.in-addr.arpa。 如果创建的域名为192.in-addr.arpa,则主机记录为10.1.168 如果创建的域名为1.168.192.in-addr.arpa,则主机记录为10 类型 记录集的类型,此处为PTR类型。 PTR – 将IP地址指向域名 TTL(秒) 记录集的有效缓存时间,以秒为单位。 默认为“5min”,即300s。 记录值 反向解析指向的域名。 仅可输入1个域名。 mail.example.com 标签 可选参数,记录集的标识,包括键和值,每个记录集可以创建20个标签。 键和值的命名规则请参见表3。 说明: 如您的组织已经设定云解析服务的相关标签策略,则需按照标签策略规则为记录集添加标签。标签如果不符合标签策略的规则,则可能会导致记录集创建失败,请联系组织管理员了解标签策略详情。 example_key1 example_value1 描述 可选配置,对PTR记录集的描述,当“其他配置”开关打开时显示。 The description of the PTR Record. 表3 标签命名规则 参数 规则 示例 键 不能为空。 对于同一资源键的取值唯一。 长度不超过128个字符。 取值可以包含任意语种字母、数字、空格,以及_ . : = + - @特殊字符,但首尾不能含有空格,不能以_sys_开头。 example_key1 值 可以为空。 长度不超过255个字符。 取值可以包含任意语种字母、数字、空格,以及_ . : / = + - @特殊字符。 example_value1 单击“确定”。 返回“解析记录”页面。 添加完成后,您可以在域名对应的记录集列表中查看已添加的记录集。当记录集的状态显示为“正常”时,表示记录集添加成功。
-
创建内网域名 进入内网域名列表页面。 单击“创建内网域名”,开始创建内网域名。 根据界面提示配置参数,参数说明如表1所示。 表1 创建内网域名参数说明 参数 参数说明 取值样例 域名 域名。 反向顶级域in-addr.arpa。 192.in-addr.arpa VPC 内网域名要关联的VPC。 - 企业项目 内网域名关联的企业项目,用于将内网域名按照企业项目进行管理。 仅当用户使用的“账号类型”为“企业账号”时,显示该参数,且参数必选。 配置原则: 如果不通过企业项目管理域名资源,则采用默认值“default”。 如果通过企业项目管理域名资源,则在下拉列表中选择已经创建的企业项目。 在设置该参数前,您需要完成创建企业项目。 更多关于企业项目的信息,请参考《企业项目管理用户指南》。 default 标签 可选参数。 域名的标识,包括键和值,每个域名可以创建20个标签。 说明: 如您的组织已经设定云解析服务的相关标签策略,则需按照标签策略规则为内网域名添加标签。标签如果不符合标签策略的规则,则可能会导致内网域名创建失败,请联系组织管理员了解标签策略详情。 example_key1 example_value1 描述 可选参数。 域名的描述信息。 长度不超过255个字符。 This is a zone example. 单击“确定”。 域名创建完成后,系统自动为您的域名创建SOA类型和NS类型记录集。 SOA类型记录集:标识了对此域名具有最终解释权的主权威服务器。 NS类型记录集:标识了此域名的权威服务器。
-
操作步骤 进入公网域名列表页面。 在待添加记录集的域名所在行,单击域名名称example.com。 单击“添加记录集”。 进入“添加记录集”页面。 图1 添加记录集 设置记录集参数,如表1所示。 表1 A类型记录集参数说明 参数 参数说明 取值样例 主机记录 域名(后缀无需用户手动填写)。 123 类型 记录集的类型,此处为A类型。 A – 将域名指向IPv4地址 别名 用于是否将此记录集关联至云服务资源实例。 是:为此记录集关联云服务资源实例,详细说明请参见设置别名解析。 否:不为此记录集关联云服务资源实例。 否 线路类型 用于DNS服务器在解析域名时,根据访问者的来源,返回对应的服务器IP地址。默认值为“全网默认”。 全网默认:默认线路类型,当未根据访问者来源设置解析线路时,系统会返回默认解析结果。 运营商线路解析:根据访问者所在运营商,设置解析线路,详细内容请参见配置运营商线路解析。 地域解析:根据访问者所在地域,设置解析线路,详细内容请参见配置地域线路解析。 自定义线路:根据访问者所属IP网段,设置解析线路,详细内容请参见配置自定义线路解析。 全网默认 TTL(秒) 记录集的有效缓存时间,以秒为单位。 默认为“5min”,即300s。 记录值 域名对应的IPv4地址。 多个IPv4地址以换行符分隔。 10.18x.xxx.xxx 权重 可选参数,返回解析记录的权重比例。默认值为1,取值范围:0~1000。 仅支持为公网域名的记录集配置此参数。 当域名在同一解析线路中有多条相同类型的解析记录时,可以通过“权重”设置解析记录的响应比例。 1 标签 记录集的标识,包括键和值,每个记录集可以创建20个标签。 键和值的命名规则请参见表2。 example_key1 example_value1 描述 可选配置,对域名的描述。 - 表2 标签命名规则 参数 规则 示例 键 不能为空。 对于同一资源键的取值唯一。 长度不超过128个字符。 取值可以包含任意语种字母、数字、空格,以及_ . : = + - @特殊字符,但首尾不能含有空格,不能以_sys_开头。 example_key1 值 可以为空。 长度不超过255个字符。 取值可以包含任意语种字母、数字、空格,以及_ . : / = + - @特殊字符。 example_value1 单击“确定”,完成记录集的添加。 您可以在域名example.com对应的记录集列表中查看添加的记录集。当记录集的状态显示为“正常”时,表示记录集添加成功。
-
修改GoDaddy域名的DNS服务器地址 登录https://sg.godaddy.com/zh网站。 单击“My Account”,进入My Account页面。 在“Products”页签中,单击“DOMAINS”前面的,展开域名列表。 待修改域名的“Action”列,单击“Launch”。 在展开页面的“Nameservers”区域,单击“Set Nameservers”。 图10 Set Nameservers 选择“I have specific nameservers for my domains.” 设置“Nameservers1”和“Nameservers2”为华为云DNS提供的DNS服务器地址。 ns1.huaweicloud-dns.com ns1.huaweicloud-dns.cn ns1.huaweicloud-dns.net ns1.huaweicloud-dns.org
-
修改新网域名的DNS服务器地址 登录http://www.xinnet.com网站。 在左侧树状导航栏,单击“域名管理”。 在“我的域名”页签,单击待修改域名“操作”列的“管理”。 进入“域名基本信息”页面。 在左侧树状导航栏,单击“修改DNS”。 进入“修改域名DNS”页面。 图9 修改域名DNS 选择“使用非新网DNS”。 设置“主DNS”和“辅DNS”为华为云DNS提供的DNS服务器地址。 ns1.huaweicloud-dns.com ns1.huaweicloud-dns.cn ns1.huaweicloud-dns.net ns1.huaweicloud-dns.org
-
操作场景 域名(
域名注册服务 )的DNS服务器地址决定了域名使用哪家DNS厂商在互联网提供解析访问。 使用华为云DNS为域名配置解析之前,需要确认域名DNS服务器地址是否为华为云DNS服务器地址,非华为云DNS服务器地址则配置解析无法生效,需要先前往域名注册商处将其修改为华为云提供的DNS服务器地址。 在公网域名列表中,域名所在行的“DNS服务器地址”列可直接查看域名当前DNS服务器地址。 如果域名当前DNS服务器地址与华为云DNS服务器地址不一致,请参考本文修改。 表1提供了常见域名注册商修改DNS服务器地址的操作指导,非华为云域名注册商的操作指导仅供参考,具体以实际域名注册商的官方操作文档为准。 表1 修改常见域名注册商的DNS服务器地址 用户场景 操作指导 修改华为云域名的DNS服务器地址 修改华为云域名的DNS服务器地址 修改第三方域名注册商DNS服务器地址 修改阿里云域名的DNS服务器地址 修改腾讯云域名的DNS服务器地址 修改西部数码域名的DNS服务器地址 修改易名中国域名的DNS服务器地址 修改新网域名的DNS服务器地址 修改GoDaddy域名的DNS服务器地址 修改域名DNS服务器地址后不会立即生效,具体的生效时间请参见修改DNS服务器后多久生效?。
-
修改单个域名的DNS服务器 登录域名注册控制台。 进入“域名列表”页面。 在域名列表中,单击待修改DNS服务器的域名。 进入域名信息页面。 在域名信息页面,单击“DNS服务器”后的“修改”。 图1 域名信息 在“身份验证”弹框中,单击“发送验证码”,接收并填入验证码。 图2 身份验证 单击“确定”,进入“修改DNS服务器”页面。 图3 修改DNS服务器 根据界面提示,修改DNS服务器地址。 在此页面,您还可以增加和删除DNS服务器,域名最多支持设置6个不同的DNS服务器,最少支持设置2个不同的DNS服务器。 增加DNS服务器:单击“增加”,输入新的DNS服务器地址。 如果您的域名使用华为云DNS进行解析,可以将DNS服务器设置为: ns1.huaweicloud-dns.com:中国大陆各区域DNS服务器地址 ns1.huaweicloud-dns.cn:中国大陆各区域DNS服务器地址 ns1.huaweicloud-dns.net:除中国大陆之外国家或地区DNS服务器地址 ns1.huaweicloud-dns.org:除中国大陆之外国家或地区DNS服务器地址 更多华为云DNS服务器的设置建议,请参见华为云DNS对用户提供域名服务的DNS是什么?。 删除DNS服务器:当设置的DNS服务器超过2个时,可以单击“删除”,删除不需要的DNS服务器。 图4 删除DNS服务器 单击“确定”,完成DNS服务器的修改。
-
操作场景 SPF是遵循一定格式规范的TXT类型的DNS记录,Gmail等邮件系统严格校验域名的SPF解析,如果邮箱解析的SPF记录集配置不正确,通常会导致以下几类问题: 邮件被拒绝:接收邮件服务器在验证SPF记录时,发现发件人IP不在允许列表中,可能会直接拒绝邮件,导致邮件无法送达。 邮件被标记为垃圾邮件:SPF记录错误可能导致邮件被接收方标记为垃圾邮件,降低邮件的可信度,影响送达率。 送达率下降:错误的SPF记录可能影响邮件的正常投递,导致邮件无法及时到达用户收件箱。 合法邮件被误判:接收方可能错误地将合法邮件识别为垃圾邮件,影响用户体验。 增加安全风险:错误的SPF记录可能让攻击者更容易伪造邮件,增加被钓鱼或恶意邮件攻击的风险。 本文档指导您配置正确的SPF记录以避免您的邮箱业务异常。
-
SPF记录集规范 在配置TXT记录的value值时,必须严格遵循相关格式规范,以下内容是SPF记录集的核心语法, 以如下SPF记录为例: v=spf1 ip4:192.xx.xx.0 ip4:192.xx.xx.1 include:example.com -all v=spf1:告诉服务器这里包含一条SPF记录,每一条 SPF 记录都必须以这个字符串开始。 ip4:192.xx.xx.0 ip4:192.xx.xx.1:表示SPF记录授权的客户端IP地址,即本域授权IP地址为192.xx.xx.0和192.xx.xx.1的客户端发送电子邮件。 include:example.com:告知收件方哪些第三方组织被授权代表该域名发送电子邮件。在该示例中,被包含域example.com的SPF记录内容应被检查,其中包含的IP地址也应被视为已授权。 一条SPF记录中可包含多个域名。 -all:排外标识,表示SPF记录中未列出的地址,没有被授权发送电子邮件,应该被拒绝。 ~all:表示未列出的电子邮件将被标记为不安全邮件或垃圾邮件,但仍会被接受。 +all:表示任何服务器都可以代表该域发送电子邮件。
-
检测SPF记录是否有效 在您添加SPF记录后,可使用MXToolbox工具进行检测,以确保您的SPF记录配置可以正常使用。 以spf.hwdnsops.net为例: 通过浏览器访问MXToolbox。 在页面的搜索框中输入您的SPF记录集名称。 单击检测按钮后面的,下拉选择“SPF Record Lookup”。 单击检测按钮,查看检测结果。 第一部分是解析SPF记录后的功能描述。 第二部分是检查SPF的配置是否符合规范。 如果配置不符合规范,会出现检测失败,如下图所示。
-
常见问题 记录集批量导入失败的常见原因和处理措施 错误提示 原因 解决措施 该域名已存在导入任务,请先进行清空操作再继续进行导入。 之前批量导入失败记录未清空 单击页面右上角的“清空”后重试。 记录集类型非法,类型应为A、CAA、AAAA、MX、CNAME、TXT或者NS。 导入记录集的记录类型不符合要求。 修改或删除记录类型不符合导入要求的记录集后重试。 解析记录的权重值为0到1,000。 导入记录集的权重值不属于0-1000 修改记录集的权重值使其在合理范围内后重试。 取值范围:0-1000。 记录集的值非法。 导入记录集的记录值不符合要求。 根据要求修改记录值后重试。 详细请参见记录集类型及配置规则。 解析线路不存在。 导入记录集的解析线路不存在。 修改记录集的解析线路后重试。 不同类型的解析线路可参考以下示例格式填写: 全网默认:直接输入全网默认。 运营商线路解析:例如电信默认、电信_华北地区、电信_北京等。 更多运营商线路请参见运营商线路细分。 地域解析:例如中国大陆、中国大陆_华北地区、中国大陆_北京等。 更多地域线路请参见地域线路细分。 记录集名称应该以所属域名结尾且为有效域名。 导入记录集的域名不符合要求。 输入域名前缀,例如"www"或置空。 也可以输入完整域名,末尾加点,例如"www.example.com." 添加解析记录后的生效时间 通常新添加的解析,添加成功后解析记录立即生效。 如果是修改已经添加的解析记录,解析生效时间不会晚于修改前的解析记录的TTL值。例如修改前TTL值为300s,则在300s内新的解析就会生效。如果本地DNS不存在缓存延时,则修改立即生效。 如果存在运营商强制延长域名记录缓存时间,则生效时间会略微延迟。 修改DNS服务器的生效时间 修改DNS服务器可以很快同步到顶级域服务器并在网络中生效。但是,域名服务商处NS记录的TTL值通常设置为48小时,这样假如某些地区Local DNS缓存了域名的NS记录,则最长需要48小时才能刷新成新的NS记录,变更为修改后的DNS服务器。 因此,修改域名DNS服务器的生效时间请以域名服务商处的说明为准。在等待修改生效期间,请勿删除域名在原域名服务商处的解析记录,这样即使域名的新DNS没有生效,仍然可以通过访问原DNS进行解析,使域名的解析不中断。
